Prospettive

Quali competenze per gestire la trasformazione digitale in sicurezza

Quali figure sono necessarie in azienda per gestire il processo di trasformazione digitale in sicurezza? L’articolo illustra i risultati di un’indagine svolta dall’ Osservatorio Information Security & Privacy del Politecnico di Milano per identificare le principali competenze e i ruoli coinvolti nella gestione dell’information security e della data protection e la loro presenza all’interno delle imprese italiane.

Pubblicato il 08 Ago 2019

concept di figura professionale con competenze in sicurezza informatica

È ormai risaputo che nell’era della trasformazione digitale le implicazioni legate al tema della sicurezza delle informazioni rappresentano una delle maggiori sfide da affrontare: i dati costituiscono un asset sempre più strategico all’interno delle imprese operanti in qualsiasi settore di mercato e, pertanto, è di vitale importanza assicurarne un’adeguata protezione. La crescente attenzione al tema è testimoniata, in Italia, dall’aumento della spesa in soluzioni di information security e data protection. La tecnologia tuttavia, da sola, non è in grado di contrastare un trend di crescita degli attacchi che sembra non conoscere limiti: le aziende, dalle più grandi alle più piccole, sono chiamate ad affrontare le sfide in tale campo anche da un punto di vista organizzativo e, quindi, di competenze per la sicurezza.

Per affrontare un percorso di trasformazione digitale in maniera sicura, diventa centrale identificare le giuste competenze e responsabilità all’interno dell’organizzazione. L’introduzione di policy comportamentali e di specifiche iniziative di formazione contribuiscono in maniera rilevante ad aumentare la sensibilità e la cultura tra gli utenti aziendali, ma non possono dirsi sufficienti. È necessario, infatti, individuare e introdurre in organico figure specializzate che siano in grado di presidiare adeguatamente la sicurezza dei dati e delle informazioni. Giova tenere presente il fatto che le normative emanate negli ultimi anni, a livello internazionale e nazionale, hanno fornito sicuramente un supporto relativamente all’individuazione di tali figure: basti pensare al GDPR, il Regolamento europeo in materia di protezione dei dati personali, che ha introdotto in Italia la figura del Data Protection Officer (DPO).

L’Osservatorio Information Security & Privacy nel 2018 ha condotto un’indagine volta a identificare le principali competenze e ruoli coinvolti nella gestione dell’information security e della data protection e la loro presenza all’interno delle imprese italiane. I dati fanno riferimento a una rilevazione condotta tra settembre e dicembre 2018 dall’Osservatorio Information Security & Privacy del Politecnico di Milano che ha coinvolto 166 imprese italiane di grandi dimensioni, appartenenti a tutti i settori merceologici.

Il CISO e il DPO: i nuovi manager della security a supporto dell’innovazione

La bontà di un piano strategico di gestione della security e della privacy passa necessariamente da una chiara e univoca definizione delle responsabilità e, a tal proposito, due appaiono essere i profili fondamentali a cui demandare la direzione di queste tematiche all’interno delle organizzazioni: il CISO (Chief Information Security Officer) e il DPO (Data Protection Officer).

Chief Information Security Officer

Il CISO è la figura che ricopre il ruolo di responsabile della sicurezza e che affianca alle competenze tecnologiche e organizzative soft skill relazionali, conoscenze del dominio di business e capacità di sviluppare e governare un team complesso. Si tratta pertanto di una figura poliedrica che non soltanto è incaricata di gestire gli aspetti meramente tecnici legati alla sicurezza all’interno dell’organizzazione, bensì deve essere in grado di delineare e fare applicare nuove strategie di business a supporto della trasformazione digitale.

Dal campione di grandi imprese analizzato nel nostro Paese emerge una situazione con alcune zone d’ombra: il CISO è infatti presente in modo formalizzato solo nel 47% dei casi. Nel 37% delle aziende invece tale figura non è stata introdotta e il presidio dell’information security è demandato nella maggior parte dei casi direttamente a profili di direzione ICT quali il Chief Information Officer. Il “ritardo” della situazione italiana si conferma focalizzandosi sulle organizzazioni dove il CISO è presente: per un’efficace gestione della sicurezza infatti sarebbe auspicabile che tale figura riportasse direttamente al Board aziendale, ma ciò accade solamente nell’8% delle aziende.

Data Protection Officer

Anche la figura del DPO deve presentare un variegato insieme di competenze: legali, informatiche e gestionali. Il DPO svolge un ruolo fondamentale all’interno del nuovo sistema di governance dei dati, trattandosi di figura volta ad assicurare il rispetto dei requisiti previsti dal Regolamento e, in generale, a sorvegliare l’osservanza della normativa europea, fornendo ad esempio pareri al Titolare o al Responsabile del trattamento e curando i rapporti con gli interessati e con l’Autorità di controllo.

In Italia nel 2018 si è registrato un sensibile aumento di organizzazioni che hanno introdotto in organico un DPO, complice anche l’obbligatorietà della sua designazione in taluni casi previsti dal Regolamento. Più nello specifico, la figura del Data Protection Officer è presente formalmente nel 65% delle organizzazioni, mentre nel 6% dei casi si tratta di una presenza di tipo informale. Rispetto alla rilevazione condotta sempre dall’Osservatorio nel 2017, si è registrato un incremento del 46% di aziende che hanno introdotto la figura in esame nel proprio organico. Coerentemente, è diminuita la quota di rispondenti che ha dichiarato di voler introdurre la figura del DPO nel prossimo futuro (5% contro il 57% del 2017) e la percentuale di imprese che afferma di non prevederne l’introduzione (6% contro il 15% del 2017). Infine, il restante 18% del campione ha dichiarato che la responsabilità è delegata a una figura esterna all’azienda.

Figure professionali in ambito information security: quali sono i profili più richiesti dalle aziende

Accanto ai profili del CISO e del DPO, il mercato offre alle imprese l’opportunità di reperire ulteriori figure professionali altamente specializzate. L’Osservatorio nel corso dei lavori ha individuato alcuni profili specialistici legati alla gestione dell’information security e, per ognuno di essi, ha indagato la percentuale di organizzazioni che ha dichiarato di averli già introdotti in organico o di avvalersi di una loro collaborazione continuativa in qualità di consulenti esterni:

  • Security Administrator (86%): si occupa di rendere operative le soluzioni tecnologiche di security, dalla loro messa in produzione alle attività di manutenzione e supporto agli utenti finali.
  • Cyber Risk Manager (79%): si occupa di identificare gli scenari di rischio e le minacce informatiche e valutare gli impatti che tali eventi potrebbero avere sull’organizzazione.
  • Security Analyst (78%): ha competenze di analisi di processo e si occupa di valutare le vulnerabilità che possono interessare reti, apparati, applicazioni e servizi proponendo soluzioni ed accorgimenti pratici. Fa scouting di mercato, identificando le soluzioni più adatte a specifici ambiti di impiego. Si può occupare di attività di verifica e conformità di soluzioni e policy a specifiche normative. Può essere inoltre coinvolto nella realizzazione di nuovi prodotti/servizi di security.
  • Ethical Hacker (76%): conosce le principali modalità di attuazione di penetration test e ha il compito di mettere in atto operazioni in grado di dimostrare l’effettiva pericolosità delle vulnerabilità di cui soffre l’azienda. Redige la documentazione per il Top Management e gli Executive Security per argomentare con elementi concreti i fattori di debolezza nella strategia di security dell’organizzazione.
  • Security Architect (65%): ha forti competenze modellistiche, si occupa di svolgere l’assessment delle soluzioni di security presenti in azienda e di curare il disegno armonico e coerente delle misure di sicurezza e delle policy adottate dall’organizzazione. Viene coinvolto nelle attività di disegno di nuovi prodotti e servizi di security.
  • Security Engineer (61%): ha un forte bagaglio tecnico e modellistico, si occupa di monitorare i sistemi e proporre soluzioni relative alla risposta agli incidenti. Può avere un ruolo attivo in attività di audit, così come nell’identificazione di soluzioni volte a migliorare la sicurezza dell’organizzazione.
  • Security Developer (51%): con competenze informatiche specialistiche, si occupa dello sviluppo ad hoc di soluzioni di security così come dell’integrazione di servizi di terze parti.
  • Machine Learning Specialist (32%): ha un bagaglio nel campo dell’analisi statistica, della matematica e delle tecniche di analytics, si occupa di sviluppare e monitorare sistemi di risposta real time in grado di identificare e trattare possibili minacce in modo automatico e cognitivo.

L’edizione 2019 dell’Osservatorio Information Security & Privacy è realizzata con il patrocinio di ANRA – Associazione Nazionale dei Risk Manager e CLUSIT, la collaborazione di CEFRIEL e DEIB e con il supporto di Assolombarda, CAST, Fastweb, Lutech Group, Poste Italiane, Spike Reply, Tesisquare; A2A, Axians – Check Point, CyberArk, Informatica, Moviri, Nodes; AXA XL, Cryptonet Labs, Generali Global Corporate & Commercial, NIDO Group.

Se si desidera avere maggiori informazioni sulle ricerche dell’Osservatorio Information Security & Privacy e sulle opportunità di collaborazione, contattare giorgia.dragoni@polimi.it

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 4